Windowsドメインでは、PDCは必ずしもドメインタイムサーバーではありません。信頼できるタイムサーバーを特定するにはどうすればよいですか?
Windowsドメインでは、PDCは必ずしもドメインタイムサーバーではありません。信頼できるタイムサーバーを特定するにはどうすればよいですか?
回答:
ドメインメンバーコンピューターで時刻同期を実行するためにW32Timeサービスで使用されるサーバーを探していると仮定しています。
通常のActive Directory展開では、タイムサーバーが明示的に構成されているコンピューターは、フォレストルートドメインでPDC Emulator FSMOの役割を保持しているコンピューターのみです。フォレストルートドメイン内のすべてのドメインコントローラーは、PDC Emulator FSMOの役割所有者と時刻を同期します。子ドメインのすべてのPDC Emulator FSMOロールホルダーは、親ドメインのドメインコントローラー(フォレストルートドメインのPDFエミュレータFSMOロールホルダーを含む可能性があります)と時刻を同期します。すべてのドメインメンバーコンピューターは、それぞれのドメインのドメインコントローラーコンピューターと時刻を同期します。
ドメインメンバーがドメイン時刻同期用に構成されているかどうかを判断するには、HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ TypeのREG_SZ値を調べます。「Nt5DS」に設定されている場合、コンピューターはActive Directoryの時間階層と時間を同期しています。値が「NTP」で構成されている場合、コンピューターは同じレジストリキーのNtpServer REG_SZ値で指定されたNTPサーバーと時刻を同期しています。
時間同期プロトコルの低レベルの詳細は、この記事「Windowsタイムサービスの仕組み」で参照できます。
すべてのドメインコントローラー(ジェームズが彼の投稿でDNSを介して検索するよう指示しているKDC)がタイムサービスを実行しているわけではないことに注意してください。通常のAD展開では、すべてのドメインコントローラーが使用されますが、一部の展開ではW32Timeサービスが無効になっている仮想化ドメインコントローラーを使用する場合があります(ハイパーバイザーベースの時刻同期を容易にするため)。したがって、おそらく、ドメインメンバーコンピューターと同じ方法で時刻を同期する必要があるソフトウェアを開発している場合は、「Windowsタイムサービスの仕組み」の記事を参照してください。
便利なコマンド
w32tm /resync /nowait
w32tm /resync /nowait /computer:computername
w32tm /query /source
w32tm /monitor /domain:mydomain.com
w32tm /dumpreg /subkey:parameters
次に、タイプを見てください。
NoSync
クライアントは時刻を同期しません。
NTP
クライアントは、外部タイムソースからの時刻を同期します。出力のNtpServer行の値を確認して、クライアントが時刻同期に使用するサーバーの名前を確認します。
NT5DS
クライアントは、時刻同期にドメイン階層を使用するように構成されています。
AllSync
クライアントは、ドメイン階層や外部タイムソースなど、利用可能なタイムソースからの時間を同期します。
ここにあるレジストリ設定:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS"
ドメインの権限を持つのは通常PDCエミュレーターで、他のDCがそれから同期します。
ドメインで現在PDCエミュレーターの役割を保持しているユーザーを確認するには、次を使用します。
netdom query fsmo
FSMOの役割の所有者を決定する他の方法については、記事がご覧FSMO役割ホルダーを決定します。
この件については、TechNetの記事「Windowsタイムサービスの仕組み」をご覧ください。